Alternative a SELinux e AppArmor? [chiuso]

5

Con SELinux sviluppato da NSA e AppArmor di Novell [*], quali soluzioni alternative esistono quando si tenta di bloccare un sistema ed eseguire applicazioni, basate su ACL e concetti simili come Zone su Solaris.

con applicazioni intendo: servizi disponibili e accessibili al pubblico tramite la rete, ovvero tutti i tipi di server web / applicativi, ma anche db-server.

chroot non è un'opzione, perché la sua PITA deve essere configurata e mantenuta a lungo termine (esperienze).

Cosa voglio ottenere: limitare l'accesso dei servizi netbased ai propri file di configurazione e di dati (docroot per server Web, dbs per db-server, ecc.); le connessioni in uscita sono gestite tramite firewall e proxy di servizio. se qualche attaccante è in grado di accedere al sistema, deve essere limitato su cosa vedere e cosa fare, ad es. non eseguire programmi, non leggere altri file.

[*] a causa di ordini gag e simili, senza più fiducia.

    
posta that guy from over there 18.09.2013 - 09:30
fonte

6 risposte

3

Grsecurity potrebbe essere un'alternativa a selinux e apparmor su una macchina Linux. Un confronto tra i tre strumenti è fornito su qui.

    
risposta data 27.09.2013 - 20:06
fonte
1

C'è anche tomoyo , che fornisce i mezzi per implementare il controllo di accesso obbligatorio. Dovrai fidarti NTT DATA Corporation di non essere malvagio, però.

Inoltre, probabilmente, chroot non può nemmeno essere considerato una sicurezza funzione .

    
risposta data 21.02.2014 - 19:30
fonte
1

Consiglio vivamente RSBAC , poiché è fondamentalmente SELinux senza NSA.
Quindi è probabilmente la scelta migliore che ci sia.

Diverse distribuzioni lo supportano immediatamente: link
In tutti gli altri casi, aggiustalo da solo, utilizzando il repository git: link
(I kernel pre-patch sono troppo obsoleti per essere sicuri.)

La mia risposta precedente era sbagliata, ed è davvero viva, come dimostra questo:
link

(Ovviamente, a meno che tu non controlli personalmente la fonte, o abbia fiducia in qualcuno che lo ha fatto ... ed esegua su un sistema senza backdoor hardware ... è comunque irrilevante.)

    
risposta data 07.02.2018 - 17:25
fonte
0

Se il tuo problema con chroot era solo la difficoltà di impostarlo e la mancanza di strumenti standardizzati attorno ad esso, allora potresti trovare Docker una buona idea. Con Docker, l'impostazione predefinita è che i contenitori (e quindi tutto ciò che sfrutta un'applicazione nel contenitore) non hanno alcun accesso al tuo filesystem. Devi scegliere di dare loro l'accesso a ciò che desideri, semplificando la verifica che stai dando loro il minimo accesso possibile e puoi limitare ulteriormente l'accesso alla rete o i limiti di utilizzo della CPU e della memoria.

    
risposta data 07.02.2018 - 22:35
fonte
0

Google ha appena rilasciato gVisor che è una piccola libreria di impronte per l'esecuzione della finestra mobile in un contesto sicuro.

    
risposta data 21.11.2018 - 07:31
fonte
-3

Selinux e i potenziatori della sicurezza commercializzati sono molto sopravvalutati in questi giorni e la maggior parte delle persone che cercano di assumerli non è per nessun altro motivo che viene utilizzata una parte aggiuntiva del software di sicurezza.

Una distribuzione / kernel Linux aggiornata dopo il 2.4 che è configurato correttamente per iniziare con che non ha quei difetti di sicurezza dai primi giorni di unix / linux prima del kernel 2.4 prima dell'anno 2000 quando molti concetti di sicurezza non esistono è l'alternativa migliore che stai cercando.

Qual è lo scopo finale specifico che stai cercando con SElinux, apparmor, rsbac, qualunque cosa e che cosa stai facendo specificamente che non può essere ragionevolmente e praticamente realizzato nel kernel 3.0 e successivi?

    
risposta data 07.02.2018 - 21:24
fonte

Leggi altre domande sui tag